1. beplay体育能用吗网络安全学院
  2. 访问控制

访问控制漏洞和特权升级

在本节中,我们将讨论访问控制安全性,描述权限升级以及访问控制可以出现的漏洞类型,并总结如何防止这些漏洞。

什么是访问控制?

访问控制(或授权)是应用于谁(或哪些)的约束,可以执行他们所要求的尝试操作或访问资源。在Web应用程序的上下文中,访问控制beplay体育能用吗依赖于身份验证和会话管理:

  • 验证识别用户并确认他们是他们所说的人。
  • 会话管理识别同一用户正在进行哪些后续HTTP请求。
  • 访问控制确定是否允许用户执行他们正在尝试执行的动作。

断开的访问控制是一个常见的和通常严重的安全漏洞。访问控制的设计和管理是一个复杂和动态的问题,适用于技术实现的业务,组织和法律限制。访问控制设计决策必须由人类进行,而不是技术,并且错误的可能性很高。

从用户的角度来看,访问控制可以分为以下类别:

访问控制漏洞

垂直访问控制

垂直访问控制是限制对其他类型用户不可用的敏感功能的访问的机制。

使用垂直访问控制,不同类型的用户可以访问不同的应用程序功能。例如,管理员可能能够修改或删除任何用户的帐户,而普通用户无法访问这些操作。垂直访问控制可以更精细地实现安全模型,旨在强制执行业务策略,例如职责分离和最不特权。

水平访问控制

水平访问控制是限制对专门访问这些资源的用户的资源的机制。

使用水平访问控制,不同的用户可以访问相同类型的资源子集。例如,银行应用程序将允许用户查看事务并从自己的帐户付款,但不是任何其他用户的帐户。

上下文相关访问控制

基于应用程序的状态或用户与其交互,基于上下文相关的访问控制限制对功能和资源的访问。

上下文相关的访问控制阻止用户以错误的顺序执行操作。例如,零售网站可能会阻止用户在他们付款后修改beplay体育能用吗购物车的内容。

破坏访问控制的例子

当用户实际上可以访问一些资源或执行一些他们不应该访问的操作时,就会存在破损访问控制漏洞。

垂直特权升级

如果用户可以访问不允许访问的功能,则这是垂直特权升级。例如,如果非管理用户实际上可以访问可以删除用户帐户的管理页面,那么这是垂直权限升级。

不受保护的功能

在最基本的,垂直特权升级出现,其中应用程序不强制对敏感功能的任何保护。例如,管理函数可能与管理员的欢迎页面相关联,但不是来自用户的欢迎页面。但是,用户可以简单地通过直接浏览到相关的管理URL来访问管理功能。

例如,网站可能会在以下URL处beplay体育能用吗于敏感功能:

https://insecure-beplay体育能用吗website.com/admin.

这可能是任何用户都可以访问,不仅可以访问与其用户界面中的功能链接的管理用户。在某些情况下,行政URL可能在其他地点披露,例如robots.txt.文件:

https://insecure-beplay体育能用吗website.com/robots.txt.

即使在任何地方披露URL,攻击者也可能能够使用字列表来强制敏感功能的位置。

在某些情况下,敏感功能并不强烈地保护,但是通过给予它不可预测的URL来隐藏:通过默默无闻地称为安全性。仅靠隐藏敏感功能不提供有效的访问控制,因为用户仍可能以各种方式发现混淆的URL。

例如,考虑在以下URL上托管管理功能的应用程序:

https://insecure-beplay体育能用吗website.com/administrator-panel-yb556.

这可能不会被攻击者直接猜到。但是,应用程序仍可能将URL泄露给用户。例如,可以在JavaScript中公开URL,其基于用户的角色构造用户界面: